CN101102188A - 一种移动接入虚拟局域网的方法与系统 - Google Patents
一种移动接入虚拟局域网的方法与系统 Download PDFInfo
- Publication number
- CN101102188A CN101102188A CNA2006100615853A CN200610061585A CN101102188A CN 101102188 A CN101102188 A CN 101102188A CN A2006100615853 A CNA2006100615853 A CN A2006100615853A CN 200610061585 A CN200610061585 A CN 200610061585A CN 101102188 A CN101102188 A CN 101102188A
- Authority
- CN
- China
- Prior art keywords
- user
- switch
- authentication
- vlan
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的目的在于提供一种移动接入虚拟局域网的系统和方法,它通过预先设置合法用户信息,根据合法用户信息对接入用户的认证信息进行认证,确定用户的权限以及用户是否发生漫游。本发明解决了现有技术中用户终端必须具有VLAN处理能力的缺陷,同时能判断用户发生漫游,解决了现有技术中用户漫游权限判断过于简单,不能有效管理用户的问题。
Description
技术领域
本发明涉及通信技术领域,特别涉及到一种移动接入虚拟局域网的方法与装置。
背景技术
IEEE Std 802.1Q标准定义了虚拟局域网(Virtual Local Area Network,VLAN)的体系结构及相关协议和算法。VLAN逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络,这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。使用VLAN可以建立虚拟工作组,可以限制广播域,解决广播风暴带来的性能下降问题,并增强通讯的安全性,增强网络的健壮性。
目前划分VLAN的方法有:基于交换机端口划分;基于MAC地址划分;基于上层协议类型划分;基于IP地址划分。后三种划分方法因自身技术的限制,目前很少使用。实际应用中VLAN的划分一般基于交换机端口。当根据交换机端口划分VLAN时,交换机的每个端口都有一个缺省端口VLAN标识(Default Port VLAN Identifier,PVID),是交换机在接收到不含VLAN标签的帧后打上的缺省标签,为方便起见,下面简称缺省VLAN标识。根据作用不同,交换机的端口可分为Access端口和Trunk端口。
交换机的Access端口用于接入用户终端,一些无线接入点(AccessPoint,AP)也有Access端口,这儿为描述方便起见,统一把具有Access端口的设备称为接入交换机。
交换机的Trunk端口用于连接到其它交换机,可以接收带标签和不带标签的帧。不带标签的帧属于端口缺省VLAN标识代表的VLAN,该VLAN也称为Native VLAN,一个网络内交换机的Trunk端口的缺省端口VLAN标识都必须相同。
目前对整个网络划分VLAN的步骤一般是首先对交换机的Access端口进行配置,把端口划分到指定的VLAN中;然后利用通用VLAN注册协议(GARPVLAN Registration Protocol,GVRP)的“join”请求报文向网络上其它交换机或者网桥注册VLAN属性,让它们相应的Trunk端口加入到VLAN。当一个Access端口退出某个VLAN时,通过GVRP的“leave”请求报文把相应端口从VLAN中退出。GVRP协议帧通过帧中的目的MAC地址来区分,GVRP使用组播MAC地址0x01-80-C2-00-00-21来标识自己是GVRP帧。这种VLAN的划分完全和用户无关,只和交换机的端口相关,用户从哪个端口接入,就属于哪个端口的PVID VLAN。用户移动到其他端口后,就退出了原来的VLAN,加入到新的端口所属的PVID VLAN。
IEEE Std 802.1X是基于端口的接入控制标准,这里的端口对于无线局域网来说个就是一条信道,802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,端口处于授权状态,允许所有的帧通过;如果认证不成功就使这个端口保持“关闭”,端口处于非授权状态,此时只允许802.1X的认证报文通过。802.1X的认证帧通过以太网帧类型来区别,如果以太网帧类型为88-8E,就是802.1X的认证帧。在进行802.1X认证时,如果用户与接入交换机一方不知道对方的MAC地址,则认证帧采用组地址01-80-c2-00-00-03作为目的地址;当用户与接入交换机互相知道对方的MAC地址时,EAPOL帧采用单播MAC地址作为目的地址。
802.1X的认证体系分为三部分结构:用户、接入交换机、认证服务器。接入交换机根据用户的认证状态控制物理接入的设备,接入交换机在用户和认证服务器间充当代理角色。
802.1X认证系统利用EAP(Extensible Authentication Protocol),作为在用户和认证服务器之间交换认证信息的手段。在用户与接入交换机之间,EAP协议报文使用EAPOL(EAP On LAN)封装格式,直接承载于LAN MAC环境中。在接入交换机与认证服务器之间,EAP协议报文可以使用高层认证协议封装格式,如EAPOR(EAP over RADIUS),承载于高层认证协议中;EAP报文也可以由接入交换机进行终结,而在接入交换机与认证服务器之间通过高层认证协议传送PAP(Password Authentication Protocol)协议报文或CHAP(Challenge-Handshake Authentication Protocol)协议报文。认证服务器可以使用多种不同的认证机制对用户进行认证,包括MD5-challenge、TLS、PAP、smart cards、Kerberos、Public Key Encryption、One Time Passwords等等。接入交换机根据认证服务器的指示(接受或拒绝)决定受控端口的授权/非授权状态。
认证过程可以由用户主动发起,也可以由接入交换机发起。用户需要接入交换机提供服务时,将主动发起认证。下面以认证服务器是RADIUS认证服务器时为例,接入交换机对EAP报文进行中继转发,并采用MD5Challenge认证机制为例对802.1X认证过程进行说明:
用户应首先向接入交换机发送一个EAPOL-Start,交换机接收到EAPOL-Start报文后,向用户的设备发送一个EAP-Request/Identity报文请求,要求用户将用户名送上来,用户的设备使用EAP-Response/Identity把自己的用户名送给接入交换机,接入交换机将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;认证服务器产生一个Challenge,通过接入交换机将RADIUS Access-Challenge报文发送给用户的设备,其中包含有EAP-Request/MD5-Challenge;用户收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word放在EAP-Response/MD5-Challenge回应给接入交换机;接入交换机将Challenge、Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;认证服务器根据自己存储的用户信息,将自己存储的用户密码和Challenge做MD5算法,并和从用户发送来的进行比较,判断用户是否合法,相同则合法;然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
当满足下列条件之一时,用户下线,受控端口处于非授权状态:a)用户与认证服务器之间的认证失败;b)管理员将受控端口强制置为非授权状态;c)与端口关联的MAC层不可用(硬件故障或者被管理员禁用);d)用户与接入交换机的物理连接出现故障;e)重新认证过程失败;f)握手过程失败;g)用户无法响应接入服务器发出的认证请求;h)用户发送EAPOL-Logoff下线请求。用户可以在任何时刻、任何情况下发起EAPOL-Logoff下线请求。
对于用户终端可以从网络不同边缘设备或者相同边缘设备的不同端口接入的情况,目前已有的技术只能运用于无线局域网环境,无线用户首先检测到无线接入点AP后,建立无线信道,然后无线用户发起802.1X认证,通过认证。无线AP的端口利用802.11的保留可选报文向接入到自己的用户不断广播自己端口的PVID,用户在接收到这样的报文后,和存储在自身的VLAN进行比较,如果一直则认为自己是本地用户,如果不一致则认为是漫游用户,本地用户不必进行VLAN注册,漫游用户为保证能接入自己所属的VLAN,需要自身组播GVRP“join”请求报文,向其它交换机注册用户自己所属的VLAN,完成该VLAN的注册;或者用户终端直接发送已经打上VLAN标签的帧到无线AP,无线AP第一次收到这样的帧就向其它交换机组播GVRP“join”请求报文,加入指定VLAN,完成该VLAN的注册。对于每个漫游VLAN,无线AP处存储了一个相应的计数器,用来指示当前此漫游VLAN在对应端口下的用户总数,当AP的转发表中学习到这样一个VLAN的用户地址时加一,当转发表中的此VLAN用户地址因为老化被删除时,删除一个减一,当此计数器为0时,无线AP组播GVRP“leave”请求,实现该VLAN的注销。这种技术因为用户自身存有VLAN的信息,可以实现VLAN用户的移动。
对于本地用户,发送的帧不需要打VLAN标签,帧送到无线AP时,AP根据端口的PVID打上相应的VLAN标签;但是对于漫游用户,用户发送帧时必须自己打上VLAN标签,无线AP只是进行转发;对于下行数据,即从AP外发到本地用户的帧,在无线AP处,因为帧内的VLAN和无线AP的PVID相同,所以无线AP去掉VLAN标签后发往本地用户;如是从AP外发到漫游用户,则在无线AP处不去VLAN标签,仅作转发。
另外这种方案里提供了一个很粗放的移动VLAN接入权限管理,即在AP上直接配置允许漫游的VLAN,对于属于这些VLAN的用户,可以以漫游用户的方式接入。
当用户发生漫游时,因为路径的改变,但网络中的交换机不能马上学习到,会有帧的丢失,为了加快交换机对漫游新位置的学习,现有方案在用户终端发生漫游后,无线AP专门发送一个报文,来加快地址的学习,此报文除了地址学习外,无任何意义。
这种方案有几个缺点:首先,这种方法要求每个用户终端自身比较知道自己所属VLAN,VLAN的划分对用户已经不透明,而传统的VLAN对用户是透明的,用户不必关心VLAN的存在,所有的VLAN的实现都是基于交换机来完成;并且用户终端必须支持GVRP协议,或者必须能够对帧进行打VLAN标签/去VLAN标签的功能;另外这种方法采用了802.11的帧及通信机制来通告无线AP端口的PVID,如果用在有线网络环境,必须定义新的二层报文及协议,来实现PVID的通告,但目前缺少这样的技术,所以该技术不能用于有线网络环境;另外此方案仅依靠在AP上直接配置允许漫游的VLAN,来进行漫游权限的判断,及只要用户属于这些VLAN,都可以接入,这样的判断太过粗糙,不能具体到用户,对漫游权限的判断应该基于用户;最后,VLAN的注销判断标准有问题,因为根据转发表中是否有指定VLAN的用户终端记录来判断是否注销VLAN是不合理的,比如某个VLAN的用户一段时间内没有发送帧,但它一直在接收数据,或者既没有发也没有收帧,这样的用户终端在转发表中对应的记录会被老化删除,从而注销对应的VLAN,这是不合理的,因为这会导致这些用户无法接收帧。
发明内容
本发明的目的在于提供一种移动接入虚拟局域网的系统和方法,它通过预先设置合法用户信息,根据合法用户信息对接入用户的认证信息进行认证,确定用户的权限以及用户是否发生漫游。本发明解决了现有技术中用户终端必须具有VLAN处理能力的缺陷,同时能判断用户发生漫游,解决了现有技术中用户漫游权限判断过于简单,不能有效管理用户的问题。
本发明的目的是通过以下技术方案实现的:
一种移动接入虚拟局域网的系统,包括用户终端、接入交换机和认证服务器。其中:
用户终端用于发送用户帧给接入交换机,同时从接入交换机接收用户帧。用户帧包括数据帧、认证帧和注销帧,以及其它控制帧。
接入交换机用于接收用户帧并判断帧类型,如果是认证帧则根据该认证帧生成用户认证信息并发送给认证服务器,如果是数据帧则根据该数据帧的源地址在访问用户列表中查找该数据帧所属用户,找到则转发数据帧,否则丢弃该数据帧。接入交换机用于接收并判断从认证服务器发来的认证结果,如果认证成功则在访问用户列表中记录该用户访问信息。访问用户列表记录的用户访问信息包括拜访端口、用户源地址、用户所属VLAN标签和记录时间,以及其它信息,例如用户标识。访问用户列表可以保存在单独的存储空间中,也可以和其它信息一起保存,例如可以和转发表结合后保存。当访问用户列表基于每个端口各自保存时,记录中可以不包含拜访端口信息。
认证帧中至少包含用户标识、用户验证码和用户源地址。用户源地址可以是认证帧的源MAC地址,也可以是其它类型的地址。用户标识可以是用户名称,也可以是代表用户的序列号,或者能区分和标识出用户的特征信息。用户验证码用来对用户标识的合法性进行验证,它可以是一般的明文密码,也可以是经过加密算法如MD5算法加密的密文密码,也可以是加密的数字签名信息。
用户认证信息包括用户标识、用户验证码、拜访交换机标识和拜访端口标识,以及其它信息。
认证服务器用于接收用户认证信息,并根据预先设置的合法用户信息对接收到的用户认证信息进行认证,并反馈认证结果给接入交换机。合法用户信息包括用户标识、用户验证码、用户所属VLAN信息(例如标签)、用户的归属交换机标识和归属端口标识、用户的漫游交换机列表和漫游端口列表。合法用户信息保存在合法用户信息列表中。
用户的归属交换机和归属端口是指默认情况下用户终端接入网络时的接入交换机和接入端口,相对应的,用户的拜访交换机和拜访端口是指用户终端当前实际接入网络时的接入交换机和接入端口。如果拜访交换机、拜访端口分别和归属交换机、归属端口相同,则用户终端未发生漫游,否则认为用户终端发生了漫游。漫游这里分两种,一种是在同一接入交换机下不同端口间的漫游;一种是不同接入交换机间的漫游。归属交换机和拜访交换机可以采用接入交换机的地址信息表示,也可以采用其它标识信息;归属端口和拜访端口可以采用端口号来表示,也可以采用其它标识信息。用户的漫游交换机列表和漫游端口列表限定了该用户的漫游范围,用户可以从漫游交换机列表指定的交换机上的漫游端口列表指定的端口接入网络。如果漫游交换机列表和漫游端口列表都为空,则表示用户只能从归属交换机上的归属端口接入网络;如果漫游交换机列表和漫游端口列表都为通配符,则表示用户可以从任何交换机的任何端口接入网络。
一种移动接入虚拟局域网的认证方法,包括:
用户终端发送认证帧给接入交换机,此时该接入交换机就是拜访交换机,接收认证帧的端口就是拜访端口;
接入交换机从接收到的认证帧中提取用户标识和用户验证码,加上拜访交换机标识和拜访端口标识生成用户认证信息,发给认证服务器;
认证服务器根据预先设置的合法用户信息对接收到的用户认证信息认证,返回认证结果给接入交换机;
接入交换机在用户认证成功后在访问用户列表中记录该用户访问信息。
预先设置合法用户信息的方法可以是用户通过命令行或者网管配置,或者从预先存储的介质中读取。
认证服务器根据预先设置的合法用户信息对接收到的用户认证信息进行认证的方法包括:判断用户标识和用户验证码是否正确,如果正确则继续执行,否则认证失败;判断用户的拜访交换机和拜访端口是否和用户的归属交换机和归属端口相同,如果相同则确定用户没有漫游,认证成功,否则继续执行;在用户的漫游交换机列表和漫游端口列表中查找该拜访交换机和拜访端口,如果能找到则确定用户漫游,认证成功,否则认证失败。
上述移动接入虚拟局域网的认证方法可以进一步包括:当用户注销后,删除访问用户列表中的该用户访问信息。
用户注销的原因有:用户发送注销请求;用户终端与接入交换机间通信故障达一定时间;管理员强制注销用户;或者其它原因。
一种移动接入虚拟局域网的数据转发方法,包括:
用户终端发送数据帧给接入交换机;
接入交换机接收数据帧,根据数据帧的源地址在访问用户列表中查找该数据帧所属用户的VLAN标签,如果找到则为该数据帧添加该VLAN标签,否则丢弃该数据帧;
上述根据数据帧的源地址在访问用户列表中查找该数据帧所属用户的VLAN标签的方法包括:在访问用户列表中查找用户源地址和该数据帧源地址匹配的记录,如果找到则该记录的用户所属VLAN标签就是该数据帧所属用户的VLAN标签,如果没有找到则表示该数据帧所属用户没有经过认证。
本发明的有益效果为:用户终端不需要具备识别VLAN的能力,降低了对用户终端的要求,提高了网络可用性;通过漫游交换机列表和漫游用户列表描述了用户的漫游权限,提高了对用户漫游权限的管理能力;同时通过访问用户列表精确记录了用户的服务状态,有利于对用户接入服务的管理和计费;另外本发明可以使用于有线和无线网络环境。
附图说明
图1为本发明的一个系统实施例示意图
具体实施方式
本发明的核心思想是通过预先设置合法用户信息,其中包括用户标识、用户验证码、用户所属VLAN信息、用户的归属交换机和归属端口、用户的漫游交换机列表和漫游端口列表,来对移动接入虚拟局域网进行控制和确定用户是否发生了漫游。同时通过保存访问访问用户列表来实现同一个端口接入多个属于不同虚拟局域网的用户。
本发明提供了一种移动接入虚拟局域网的系统,下面将描述其中一个较佳实施例,如图1所示:
用户终端设备Zhangsan和接入交换机B的端口1相连,此时该用户设备向接入交换机B的端口1发送用户帧,也会从该端口接收用户帧。
接入交换机处理各端口上的用户以太帧;
用户认证模块实现在单独的服务器上,认证服务器接收多个接入交换机上的转发模块发来的认证用户信息,根据预先设置的合法用户信息对其进行认证,并反馈认证结果给接入转发模块交换机。接入交换机和认证服务器转发模块和用户认证模块之间的通信可以基于交换机和服务器之间专门的数据通信网络,也可以基于交换机本身提供的业务通信网络,具体的网络层协议一般为IP协议。接入交换机和认证服务器间的认证协议可以是通常使用的远程身份验证拨入用户服务(RADIUS)协议,或者其它认证协议,例如Diameter协议和各种私有认证协议。
接入交换机维护了一个访问用户列表,例如交换机B维护的访问用户列表如表1所示,该表中记录了访问端口1和访问端口2的所有用户信息,从表中第一条记录我们可以看到:用户标识为Zhangsan的用户通过源地址为00-40-05-A5-4F-9D的设备从交换机B的端口1访问网络,该用户所属VLAN的标签为100,记录更新时间为2006年1月2日14点0分28秒。
表1:交换机B上的访问用户列表
| 拜访端口 | 源MAC地址 | 用户名 | VLAN标签 | 漫游标志 | 更新时间 |
| 1 | 00-40-05-A5-4F-9D | Zhangsan | 100 | 是 | 2006-1-214:00:28 |
| 1 | 00-45-15-A8-4F-9D | Lisi | 200 | 是 | 2006-1-221:00:10 |
| 2 | 00-21-A1-2E-55-88 | Monton | 300 | 否 | 2006-2-223:10:50 |
认证服务器维护了一个合法用户信息列表,例如表2所示,该表中记录了可以访问网络的三个用户的信息,从表中可以看到:用户Zhangsan的验证密码是Icandoit123,所属VLAN的标签是100,归属交换机是C,归属端口是C上的端口1,用户漫游交换机列表中包含交换机A和B,用户漫游端口列表中包含B上的所有端口(采用通配符“*”表示)和A上的端口1和2,这表示该用户可以漫游访问交换机B上的所有端口和交换机A上的端口1和2;用户Lisi的验证密码是Patent888,所属VLAN的标签是200,归属交换机是A,归属端口是1,用户漫游交换机列表包含交换A、B和C,用户漫游端口列表中包括A上的端口2、B上的端口1以及C上的端口1,这表示该用户可以漫游访问交换机A上的端口2、交换机B上的端口以及交换机C上的端口1;用户Monton的验证密码是bunenwen5,所属VLAN的标签是300,归属交换机是B,归属端口是2,用户漫游交换机列表和用户漫游端口列表为空,这表示除了归属交换B上的归属端口2以外,该用户不能漫游访问其它交换机和端口。
表2:认证服务器上的合法用户信息列表
| 用户名 | 用户密码 | 用户所属VLAN标签 | 用户归属交换机标识 | 用户归属端口标识 | 用户漫游交换机列表 | 用户漫游端口列表 |
| Zhangsan | Icandoit123 | 100 | C | C1 | B | * |
| A | 1 | |||||
| 2 | ||||||
| Lisi | Patent888 | 200 | A | A1 | B | 1 |
| A | 2 | |||||
| C | 1 | |||||
| Monton | bunenwen5 | 300 | B | B2 | - | - |
本发明也提供了一种移动接入虚拟局域网的认证方法,下面基于图1所示的系统描述其一个较佳实施例。其中认证服务器以RADIUS认证服务器为例,接入交换机对EAP报文进行中继转发,并采用MD5 Challenge认证机制为例。
当网络使用合同签署后,网络管理员为用户Zhangsan、Lisi和Monton配置了访问网络的权限信息,例如表2所示的合法用户信息列表中的记录。
当用户Zhangsan从交换机B的端口1接入时,用户Zhangsan的终端(MAC地址为00-40-05-A5-4F-9D,可能是计算机,也可能是移动终端)向交换机B的端口1发送一个EAPOL-Start帧,交换机接收到EAPOL-Start帧后,向用户Zhangsan的用户终端发送一个EAP-Request/Identity请求帧,要求用户将用户名送上来,用户Zhangsan的终端使用EAP-Response/Identity帧把自己的用户名Zhangsan送给接入交换机B,交换机B通过RADIUS协议报文RADIUS Access-Request发给认证服务器;认证服务器产生一个Challenge,通过接入交换机B将RADIUS Access-Challenge报文发送给用户Zhangsan的终端,其中包含有EAP-Request/MD5-Challenge请求;用户终端Zhangsan收到EAP-Request/MD5-Challenge报文后,将密码Icandoit123和Challenge做MD5算法后的Challenged-Password放在EAP-Response/MD5-Challenge回应给接入交换机;交换机接收到该帧后,提取Challenged-Password,再加上Challenge、用户名Zhangsan、本交换机标识和接入端口标识生成用户认证信息,即生成包含Challenged-Password、Challenge、用户名Zhangsan、拜访交换机标识B和拜访端口1的用户认证信息,通过RADIUSAccess-Challenge报文一起发送到RADIUS服务器,由RADIUS服务器进行认证;认证服务器根据自己存储在如表2所示的合法用户信息列表中的用户信息,将自己存储的用户密码和Challenge做MD5算法,并和从用户发送来的进行比较,判断用户是否合法,若相同,则认为用户名和用户密码匹配,则进一步在如表2所示的合法用户信息列表中查找用户信息,如果用户漫游交换机列表和用户漫游端口列表中存在和交换机B以及端口1同时匹配的记录,认证服务器返回用户漫游且认证成功信息给交换机B;交换机B收到认证成功信息后开始处理用户的数据帧,同时记录用户信息在访问用户信息列表中,如表1中的第一条记录所示。
一段时间后,Zhangsan的用户终端发送注销帧给拜访交换机的拜访端口,表示他要离开虚拟局域网。交换机B接收到注销帧后,删除访问用户列表中用户Zhangsan的记录。
当用户Lisi从交换机B的端口1接入时,用户Lisi的设备(MAC地址是00-45-15-A8-4F-9D,可能是计算机,也可能是移动终端)向交换机B的端口1发送认证帧,认证帧中包含了包含用户名Lisi和用户密码Patent。交换机B加上拜访交换机标识B和拜访端口标识1生成用户认证信息发给认证服务器;认证服务器收到用户认证信息后,在如表2所示的合法用户列表中找到匹配的用户名,但是密码匹配错误,认证服务器返回用户认证失败信息给交换机B;交换机B收到认证失败信息后不继续处理用户数据帧。
当用户Lisi把密码修改为Patent888后再次从交换机B的端口1接入,此时认证帧中包含了正确的密码,后续过程和Zhangsan接入交换机B的1端口类似,不再赘述。认证成功后的访问用户信息如表1中的第二条记录所示。
当用户Monton从交换机B的端口1接入时,用户Monton的设备(MAC地址是00-21-A1-2E-55-88,可能是计算机,也可能是移动终端)向交换机B的1端口发送认证帧,认证帧中包含了包含用户名Monton和用户密码bunenwen5;交换机B加上拜访交换机标识B和拜访端口标识1生成用户认证信息发给认证服务器;认证服务器收到用户认证信息后,在如图4所示的合法用户信息列表中查找用户信息,发现用户名和用户密码匹配,但是没有同时匹配拜访交换机标识B和拜访端口标识1的记录,认证服务器返回用户认证失败信息给交换机B;交换机B收到认证失败信息后不继续处理用户数据帧。
当用户Monton从交换机B的端口2接入时,用户Monton的设备向交换机B的2端口发送认证帧,认证帧中包含了包含用户名Monton和用户密码bunenwen5;交换机B加上拜访交换机标识B和拜访端口标识2生成用户认证信息发给认证服务器;认证服务器收到用户认证信息后,在如表2所示的合法用户信息列表中查找用户信息,发现用户名和用户密码匹配,且存在归属交换机和归属端口同时匹配的记录,认证服务器返回认证成功信息给交换机B;交换机B收到认证成功信息后开始处理用户的数据帧,同时记录用户信息在访问用户信息列表中,如表1中的第三条记录所示。
本发明也提供了一种移动接入虚拟局域网的数据转发方法,下面基于图1所示的系统描述其一个较佳实施例。
假设用户Zhangsan通过交换机B的端口1接入了网络,此时交换机B上的访问用户列表中保存了Zhangsan的信息,如表1第一条记录所示。用户终端发来的数据帧,其源地址为00-40-05-A5-4F-9D,在访问用户列表中可以找到匹配记录,就是表项的第一条记录,该表项的VLAN标签为100,在该数据帧上添加VLAN标签100,对添加完标签的数据帧根据MAC转发表进行转发即可。当用户终端发来的数据帧源地址为00-12-53-1B-67-A1时,在访问用户列表中找不到匹配的记录,因此丢弃该数据帧。为了保证查找速度,访问用户列表可以保存在内容寻址存储器中(CAM)。
当交换机B从交换机A接收到一个VLAN标签为10、目的MAC地址为00-40-05-A5-4F-9D的数据帧,可以从MAC转发表中找到该数据帧的转发端口为1,因此交换机B把该数据帧去掉VLAN标签,从端口1发给用户终端。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (11)
1、一种移动接入虚拟局域网的系统,包括用户终端、接入交换机和认证服务器,其特征在于:
所述的用户终端用于发送用户帧;
所述的接入交换机用于接收用户帧并判断帧类型,根据认证帧生成用户认证信息并发送给认证服务器,以及根据数据帧的源地址在访问用户列表中查找该数据帧的所属用户后,转发数据帧;
所述的认证服务器用于接收用户认证信息,并根据预先设置的合法用户信息对接收到的用户认证信息进行认证,并反馈认证结果给接入交换机。
2、根据权利要求1所述的移动接入虚拟局域网的系统,其特征在于:所述的接入交换机用于接收并判断从认证服务器发来的认证结果,如果认证成功则在访问用户列表中记录该用户访问信息。
3、根据权利要求2所述的移动接入虚拟局域网的系统,其特征在于:所述的访问用户列表记录的用户访问信息包括用户源地址和用户所属VLAN标签。
4、根据权利要求1所述的移动接入虚拟局域网的系统,其特征在于:所述的用户认证信息包括用户标识、用户验证码、拜访交换机标识和拜访端口标识。
5、根据权利要求1所述的移动接入虚拟局域网的系统,其特征在于:所述的合法用户信息包括用户标识、用户验证码、用户所属VLAN信息、用户的归属交换机标识和归属端口标识、用户的漫游交换机列表和漫游端口列表。
6、一种移动接入虚拟局域网的认证方法,其特征在于包括:
用户终端发送认证帧给接入交换机;
接入交换机从接收到的认证帧中提取用户标识和用户验证码,加上拜访交换机标识和拜访端口标识生成用户认证信息,发给认证服务器;
认证服务器根据预先设置的合法用户信息对接收到的用户认证信息认证,返回认证结果给接入交换机。
7、根据权利要求6所述的移动接入虚拟局域网的认证方法,其特征在于,所述的合法用户信息包括用户标识、用户验证码、用户所属VLAN信息、用户的归属交换机标识和归属端口标识、用户的漫游交换机列表和漫游端口列表。
8、根据权利要求6所述的移动接入虚拟局域网的认证方法,其特征在于,认证服务器根据预先设置的合法用户信息对接收到的用户认证信息进行认证的方法包括:判断用户标识和用户验证码是否正确,如果正确则继续执行,否则认证失败;判断用户的拜访交换机和拜访端口是否和用户的归属交换机和归属端口相同,如果相同则确定用户没有漫游,认证成功,否则继续执行;在用户的漫游交换机列表和漫游端口列表中查找该拜访交换机和拜访端口,如果能找到则确定用户漫游,认证成功,否则认证失败。
9、根据权利要求6所述的移动接入虚拟局域网的认证方法,其特征在于该认证方法进一步包括:接入交换机在用户认证成功后在访问用户列表中记录该用户访问信息。
10、根据权利要求6所述的移动接入虚拟局域网的认证方法,其特征在于该认证方法进一步包括:当用户注销后,删除该用户访问信息。
11、一种移动接入虚拟局域网的数据转发方法,其特征在于包括:
用户终端发送数据帧给接入交换机;
接入交换机接收数据帧,根据数据帧的源地址在访问用户列表中查找该数据帧所属用户的VLAN标签,如果找到则为该数据帧添加该VLAN标签,否则丢弃该数据帧;
接入交换机转发添加了VLAN标签的数据帧。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100615853A CN101102188B (zh) | 2006-07-07 | 2006-07-07 | 一种移动接入虚拟局域网的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100615853A CN101102188B (zh) | 2006-07-07 | 2006-07-07 | 一种移动接入虚拟局域网的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102188A true CN101102188A (zh) | 2008-01-09 |
| CN101102188B CN101102188B (zh) | 2010-08-04 |
Family
ID=39036300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100615853A Expired - Fee Related CN101102188B (zh) | 2006-07-07 | 2006-07-07 | 一种移动接入虚拟局域网的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101102188B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010003354A1 (zh) * | 2008-07-09 | 2010-01-14 | 中兴通讯股份有限公司 | 认证服务器及虚拟专用网的移动通信终端接入控制方法 |
| CN101895456A (zh) * | 2009-05-14 | 2010-11-24 | 阿瓦雅公司 | 用于使能大规模统一网络中客户设备的移动性的方法 |
| CN102158837A (zh) * | 2010-06-07 | 2011-08-17 | 华为技术有限公司 | 计费方法、计费系统及网络系统 |
| CN102244863A (zh) * | 2010-05-13 | 2011-11-16 | 华为技术有限公司 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN102625346A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种长期演进局域网lte-lan系统和接入设备及终端 |
| CN101651696B (zh) * | 2009-09-17 | 2012-09-19 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
| CN103039038A (zh) * | 2010-06-21 | 2013-04-10 | 德国电信股份公司 | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 |
| WO2013107200A1 (zh) * | 2012-01-18 | 2013-07-25 | 华为技术有限公司 | 虚拟局域网的部署和撤销方法、设备及系统 |
| CN106878199A (zh) * | 2016-12-20 | 2017-06-20 | 新华三技术有限公司 | 一种接入信息的配置方法和装置 |
| CN107040448A (zh) * | 2017-05-27 | 2017-08-11 | 上海斐讯数据通信技术有限公司 | 用户vlan实现装置、系统及方法、无线接入点 |
| CN107547336A (zh) * | 2017-05-15 | 2018-01-05 | 新华三技术有限公司 | 一种认证端口加入授权vlan的方法及装置 |
| CN108683580A (zh) * | 2018-05-24 | 2018-10-19 | 西安电子科技大学 | 基于Mac地址划分的虚拟局域网数据处理方法 |
| CN104901796B (zh) * | 2015-06-02 | 2019-04-05 | 新华三技术有限公司 | 一种认证方法和设备 |
| CN113438081A (zh) * | 2021-06-16 | 2021-09-24 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
| CN114070881A (zh) * | 2021-11-11 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 终端控制方法、装置、设备及存储介质 |
| CN114670705A (zh) * | 2022-01-11 | 2022-06-28 | 北京新能源汽车股份有限公司 | 一种电池管理系统子板配置方法、装置和电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1125545C (zh) * | 2001-12-31 | 2003-10-22 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
| CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| CN100437550C (zh) * | 2002-09-24 | 2008-11-26 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
-
2006
- 2006-07-07 CN CN2006100615853A patent/CN101102188B/zh not_active Expired - Fee Related
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010003354A1 (zh) * | 2008-07-09 | 2010-01-14 | 中兴通讯股份有限公司 | 认证服务器及虚拟专用网的移动通信终端接入控制方法 |
| US8806608B2 (en) * | 2008-07-09 | 2014-08-12 | Zte Corporation | Authentication server and method for controlling mobile communication terminal access to virtual private network |
| US20120110658A1 (en) * | 2008-07-09 | 2012-05-03 | Zte Corporation | Authentication server and method for controlling mobile communication terminal access to virtual private network |
| CN101895456A (zh) * | 2009-05-14 | 2010-11-24 | 阿瓦雅公司 | 用于使能大规模统一网络中客户设备的移动性的方法 |
| CN101895456B (zh) * | 2009-05-14 | 2015-11-25 | 阿瓦雅公司 | 用于使能大规模统一网络中客户设备的移动性的方法 |
| US10270622B2 (en) | 2009-05-14 | 2019-04-23 | Avaya Inc. | Method for enabling mobility of client devices in large scale unified networks |
| CN101651696B (zh) * | 2009-09-17 | 2012-09-19 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN102244863A (zh) * | 2010-05-13 | 2011-11-16 | 华为技术有限公司 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
| CN102158837A (zh) * | 2010-06-07 | 2011-08-17 | 华为技术有限公司 | 计费方法、计费系统及网络系统 |
| CN103039038B (zh) * | 2010-06-21 | 2017-05-24 | 德国电信股份公司 | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 |
| CN103039038A (zh) * | 2010-06-21 | 2013-04-10 | 德国电信股份公司 | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 |
| US9332579B2 (en) | 2010-06-21 | 2016-05-03 | Deutsche Telekom Ag | Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN102625346A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种长期演进局域网lte-lan系统和接入设备及终端 |
| CN102625346B (zh) * | 2011-01-31 | 2015-04-15 | 电信科学技术研究院 | 一种长期演进局域网lte-lan系统和接入设备及终端 |
| WO2013107200A1 (zh) * | 2012-01-18 | 2013-07-25 | 华为技术有限公司 | 虚拟局域网的部署和撤销方法、设备及系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
| CN104901796B (zh) * | 2015-06-02 | 2019-04-05 | 新华三技术有限公司 | 一种认证方法和设备 |
| CN106878199B (zh) * | 2016-12-20 | 2020-02-11 | 新华三技术有限公司 | 一种接入信息的配置方法和装置 |
| CN106878199A (zh) * | 2016-12-20 | 2017-06-20 | 新华三技术有限公司 | 一种接入信息的配置方法和装置 |
| CN107547336A (zh) * | 2017-05-15 | 2018-01-05 | 新华三技术有限公司 | 一种认证端口加入授权vlan的方法及装置 |
| CN107547336B (zh) * | 2017-05-15 | 2020-11-06 | 新华三技术有限公司 | 一种认证端口加入授权vlan的方法及装置 |
| CN107040448A (zh) * | 2017-05-27 | 2017-08-11 | 上海斐讯数据通信技术有限公司 | 用户vlan实现装置、系统及方法、无线接入点 |
| CN108683580B (zh) * | 2018-05-24 | 2020-11-03 | 西安电子科技大学 | 基于Mac地址划分的虚拟局域网数据处理方法 |
| CN108683580A (zh) * | 2018-05-24 | 2018-10-19 | 西安电子科技大学 | 基于Mac地址划分的虚拟局域网数据处理方法 |
| CN113438081A (zh) * | 2021-06-16 | 2021-09-24 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
| CN113438081B (zh) * | 2021-06-16 | 2022-05-31 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
| CN114070881A (zh) * | 2021-11-11 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 终端控制方法、装置、设备及存储介质 |
| CN114670705A (zh) * | 2022-01-11 | 2022-06-28 | 北京新能源汽车股份有限公司 | 一种电池管理系统子板配置方法、装置和电子设备 |
| CN114670705B (zh) * | 2022-01-11 | 2024-06-07 | 北京新能源汽车股份有限公司 | 一种电池管理系统子板配置方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101102188B (zh) | 2010-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN101123811B (zh) | 管理和wpa-psk无线网络连接的站的设备和方法 | |
| US7607015B2 (en) | Shared network access using different access keys | |
| CN100591011C (zh) | 一种认证方法及系统 | |
| CN101919278B (zh) | 使用数字证书的无线设备认证 | |
| US9548983B2 (en) | Cross access login controller | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| US9270652B2 (en) | Wireless communication authentication | |
| US20100146599A1 (en) | Client-based guest vlan | |
| JP4504970B2 (ja) | 仮想無線ローカルエリアネットワーク | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| CN101232372A (zh) | 认证方法、认证系统和认证装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US20170118638A1 (en) | Method and apparatus for passpoint eap session tracking | |
| CN101404643B (zh) | 基于ipsec技术实现无线单点登录系统及其运行方法 | |
| US20110119740A1 (en) | System and method for providing enterprise integration in a network environment | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
| CN1805441B (zh) | Wlan网络集成认证体系结构及实现结构层的方法 | |
| CN101909248B (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100804 Termination date: 20190707 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |